本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
安全隧道
借助 aws.greengrass.SecureTunneling 组件,您可以与位于受限防火墙后面的 Greengrass 核心设备建立安全的双向通信。
例如,假设您的 Greengrass 核心设备位于防火墙后面,防火墙禁止所有传入连接。安全隧道使用 MQTT 将访问令牌传输到设备,然后使用 WebSockets 通过防火墙与设备建立 SSH 连接。使用此 Amazon IoT 管理的隧道,您可以打开设备所需的 SSH 连接。有关使用 Amazon IoT 安全隧道连接远程设备的更多信息,请参阅《开发人员指南》中的Amazon IoT 安全隧道。Amazon IoT
此组件订阅$aws/things/主题上的 Amazon IoT Core MQTT 消息代理以接收安全隧道通知。greengrass-core-device/tunnels/notify
版本
此组件具有以下版本:
-
1.1.x
-
1.0.x
类型
此组件是一个通用组件 (aws.greengrass.generic)。Greengrass Nucleus 运行组件的生命周期脚本。
有关更多信息,请参阅组件类型。
操作系统
此组件只能安装在 Linux 核心设备上。
架构:
-
Armv71
-
Armv8 () AArch64
-
x86_64
要求
此组件具有以下要求:
-
安全隧道组件的可用磁盘空间不得低于 32 MB。此要求不包括运行在同一设备上的 Greengrass 核心软件或其它组件。
-
安全隧道组件至少需要 16 MB 的可用内存。此要求不包括运行在同一设备上的 Greengrass 核心软件或其它组件。有关更多信息,请参阅 使用 JVM 选项控制内存分配。
-
安全隧道组件版本 1.0.12 及更高版本要求 GNU C 库(glibc)版本 2.25 或更高版本以及 Linux 内核 3.2 或更高版本。不支持超过长期支持终止使用日期的操作系统和库的版本。您应该使用具有长期支持的操作系统和库。
-
操作系统和 Java 运行时都必须安装为 64 位。
-
Python
3.5 或更高版本已安装在 Greengrass 核心设备上,并已添加到 PATH 环境变量中。 -
libcrypto.so.1.1已安装在 Greengrass 核心设备上并已添加到 PATH 环境变量中。 -
打开 Greengrass 核心设备 443 端口的出站流量。
-
开启对用以与 Greengrass 核心设备通信的通信服务的支持。例如,要打开与设备的 SSH 连接,则必须在该设备上打开 SSH。
端点和端口
除了基本操作所需的端点和端口外,此组件还必须能够对以下端点和端口执行出站请求。有关更多信息,请参阅 允许设备流量通过代理或防火墙。
| Endpoint | 端口 | 必需 | 描述 |
|---|---|---|---|
|
|
443 | 是 |
建立安全隧道。 |
依赖项
部署组件时, Amazon IoT Greengrass 还会部署其依赖项的兼容版本。这意味着您必须满足组件及其所有依赖关系的要求,才能成功部署组件。本部分列出了此组件的已发布版本的依赖关系,以及定义每个依赖关系的组件版本的语义版本约束。您还可以在 Amazon IoT Greengrass 控制台
有关组件依赖关系的更多信息,请参阅组件配方参考。
配置
此组件提供您可以在部署组件时自定义的以下配置参数。
OS_DIST_INFO-
(可选)核心设备的操作系统。默认情况下,该组件会尝试自动识别核心设备上运行的操作系统。如果组件无法使用默认值启动,请使用此值来指定操作系统。有关此组件支持的操作系统类型的完整列表,请参阅设备要求。
它可以是以下值之一:
auto、ubuntu、amzn2、raspberrypi。默认值:
auto accessControl-
(可选)包含允许组件订阅安全隧道通知主题的授权策略的对象。
注意
如果您的部署以事物组为目标,请勿修改此配置参数。如果您的部署以单个核心设备为目标,并且您想将其订阅限制为该设备的主题,请指定核心设备的事物名称。在设备授权策略的
resources值中,将 MQTT 主题通配符替换为设备的事物名称。{ "aws.greengrass.ipc.mqttproxy": { "aws.iot.SecureTunneling:mqttproxy:1": { "policyDescription": "Access to tunnel notification pubsub topic", "operations": [ "aws.greengrass#SubscribeToIoTCore" ], "resources": [ "$aws/things/+/tunnels/notify" ] } } }
例 示例:配置合并更新
以下示例配置指定允许此组件在运行 Ubuntu 的名为 MyGreengrassCore 的核心设备上打开安全隧道。
{ "OS_DIST_INFO": "ubuntu", "accessControl": { "aws.greengrass.ipc.mqttproxy": { "aws.iot.SecureTunneling:mqttproxy:1": { "policyDescription": "Access to tunnel notification pubsub topic", "operations": [ "aws.greengrass#SubscribeToIoTCore" ], "resources": [ "$aws/things/MyGreengrassCore/tunnels/notify" ] } } } }
本地日志文件
此组件使用以下日志文件。
/logs/aws.greengrass.SecureTunneling.log/greengrass/v2
查看此组件的日志
-
在核心设备上运行以下命令可实时查看此组件的日志文件。
/greengrass/v2sudo tail -f/greengrass/v2
许可证
此组件包含以下第三方软件/许可:
-
Amazon IoT 设备客户端
/Apache 许可证 2.0 -
Amazon IoT Device SDK for Java
/Apache 许可证 2.0 -
gson
/Apache 许可证 2.0 -
log4j
/Apache 许可证 2.0 -
slf4j
/Apache 许可证 2.0
使用量
要在设备上使用安全隧道组件,请执行以下操作:
-
将安全隧道组件部署到您的设备上。
-
打开 Amazon IoT 管理控制台
。从左侧菜单中选择远程操作,然后选择安全隧道。 -
创建一个连接 Greengrass 设备的隧道。
-
下载源访问令牌。
-
使用带有源访问令牌的本地代理连接到您的目标。有关更多信息,请参阅《Amazon IoT 开发人员指南》中的如何使用本地代理。
另请参阅
更改日志
下表介绍每个组件版本的更改。
|
版本 |
更改 |
|---|---|
|
1.1.3 |
|
|
1.1.2 |
警告此版本不再可用。此版本的改进将在此组件的更高版本中提供。
|
|
1.1.1 |
|
|
1.1.0 |
|
|
1.0.19 |
警告如果您使用安全隧道本地代理作为隧道源客户端,将本地代理升级到版本 3.1.1 或更高版本之后,才能将组件更新到此版本。 |
|
1.0.18 |
版本更新为 Greengrass Nucleus 版本 2.12.0 发布版。 |
|
1.0.17 |
|
|
1.0.16 |
版本更新为 Greengrass Nucleus 版本 2.11.0 发布版。 |
|
2016-09-01 |
|
|
1.0.14 |
版本更新为 Greengrass Nucleus 版本 2.10.0 发布版。 |
|
1.0.13 |
|
|
1.0.12 |
|
|
2016-09-01 |
对 Greengrass Nucleus版本 2.9.0 发行版进行了版本更新。 |
|
2016-09-01 |
版本更新为 Greengrass Nucleus 版本 2.8.0 发布版。 |
|
1.0.9 |
版本更新为 Greengrass Nucleus 版本 2.7.0 发布版。 |
|
1.0.8 |
版本更新为 Greengrass Nucleus 版本 2.6.0 发布版。 |
|
1.0.7 |
|
|
1.0.6 |
此版本包含错误修复。 |
|
1.0.5 |
版本更新为 Greengrass Nucleus 版本 2.5.0 发布版。 |
|
1.0.4 |
版本更新为 Greengrass Nucleus 版本 2.4.0 发布版。 |
|
1.0.3 |
版本更新为 Greengrass Nucleus 版本 2.3.0 发布版。 |
|
1.0.2 |
对 Greengrass Nucleus 版本 2.2.0 发行版进行了版本更新。 |
|
1.0.1 |
对 Greengrass Nucleus 版本 2.1.0 发行版进行了版本更新。 |
|
1.0.0 |
初始版本。 |